[postfix-users] TLS von MTA zu MTA

Robert Schetterer rs at sys4.de
Mo Aug 12 09:24:27 CEST 2013 

Am 12.08.2013 08:47, schrieb Jochen Fahrner:
> Am 12.08.2013 08:12, schrieb Patrick Ben Koetter:
>> Wenn Du es jetzt auf Debian/Ubuntu - falls noch nicht geschehen - noch amtlich
>> machen willst, fügst Du Postfix zur Gruppe ssl-cert hinzu:
> 
> Ok, hab ich gemacht. Gruppe sasl fehlte auch.
> 
> Eins ist aber immer noch merkwürdig: Bei Mails zu web.de ist die
> Verbindung jetzt "Trusted" und ich sehe auch welches Root-CA benötigt wurde.
> 
> Zu den meisten anderen ist die Verbindung jedoch nur "untrusted" und es
> fehlt auch die Angabe des Root-CA. Kann das sein dass die Mehrzahl nur
> selfsigned Zertifikate besitzt?
> 
> Und auch seltsam: zu GMX bekomme ich outbound ein "Trusted", inbound
> aber nur "untrusted". Ist da bei mir noch was schief, oder bei GMX?
> 

die Frage ist letztendlich wie wichtig ist dir trusted und untrusted

ssl crts koennen selbst gemacht sein oder sich aendern, willst du immer
( oder mehr ) trusted haben musst du im Zweifel die crts  deiner
Verbindungspartner importieren, distros liefern eher selten updates in
dieser Hinsicht, der entscheidente Punkt ist aber letztendlich dass eben
verschluesselt uebertragen wird, es ist deine Entscheidung welchen
weiteren Level an Sicherheit du noch anwenden moechtest, bei "may" wird
verschluesselt wenn beide Partner es anbieten, dabei ist es erstmal egal
ob das crt "trusted" ist oder nicht, das ist fuer den normalen Alltag
normalerweise ausreichend, willst du zusaetzlich zu bestimmten domains
garantiert nur verschluesselt uebertragen nutze den Parameter

smtp_tls_policy_maps

http://sys4.de/de/blog/2013/03/27/uebermittlungssicherheit-mit-mailservern-postfix-tls/

Das Ssl System setzt ja auf "Notare" die sozusagen die Identitaet
versichern, die Frage heut zu Tage ist "glaubt" man den Notaren
ist man paranoid wird man dies wohl mittlerweile verneinen
deshalb ist ein selbst erstelltes crt erstmal auch in Ordnung,
aus meiner Sicht ist vor allem eben wichtig das eine Verschluesselung
stattfindet wenn moeglich.

insgesammt nicht ganz trivial das Thema ich hoffe ich habe so richtig
wiedergegeben


Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users